Registar e analisar a utilização do serviço Azure Rights ManagementLogging and analyzing usage of the Azure Rights Management service

Neste artigo

Utilize estas informações para ajudar a compreender como pode utilizar o registo de utilização do serviço do Azure Rights Management do Azure Information Protection.Use this information to help you understand how you can use usage logging for the Azure Rights Management service from Azure Information Protection.Este serviço fornece a proteção de dados de documentos da sua organização e mensagens de correio eletrónico e pode registar cada solicitação a ele.This service provides the data protection for your organization's documents and emails and it can log every request to it.Estes pedidos incluem quando os utilizadores protegerem documentos e e-mail e a consumam este conteúdo, ações efetuadas pelos seus administradores para este serviço e ações realizadas por operadores da Microsoft para suportar a implementação do Azure Information Protection.These requests include when users protect documents and email and also consume this content, actions performed by your administrators for this service, and actions performed by Microsoft operators to support your Azure Information Protection deployment.

Em seguida, pode utilizar estes registos do serviço Azure Rights Management para suportar os seguintes cenários empresariais:You can then use these Azure Rights Management service logs to support the following business scenarios:

Informações de registo de Rights Management do Azure são-lhe disponibilizadas quase em tempo real, para que possa monitorizar continuamente a utilização da sua empresa do serviço Rights Management.Azure Rights Management logging information is available to you in near-real time, so that you can continuously monitor your company’s use of the Rights Management service.99,9% dos registos estão disponíveis dentro de 15 minutos após uma ação iniciada para o serviço.99.9% of logs are available within 15 minutes of an initiated action to the service.

Por exemplo, poderá querer ser alertado caso ocorra um aumento súbito de pessoas que estão a ler dados protegidos fora do horário de trabalho normal, o que pode significar que um utilizador mal-intencionado está a recolher informações para vender à concorrência.For example, you might want to be alerted if there is a sudden increase of people reading protected data outside standard working hours, which could indicate that a malicious user is collecting information to sell to competitors.Em alternativa, poderá querer ser alertado se o mesmo utilizador parecer aceder a dados a partir de dois endereços IP diferentes num curto período de tempo, o que pode significar que uma conta de utilizador foi comprometida.Or, if the same user apparently accesses data from two different IP addresses within a short time frame, which could indicate that a user account has been compromised.

Efetuar análises forensesPerform forensic analysis

Se ocorrer uma fuga de informações, é provável que lhe seja pedido para indicar quem acedeu recentemente a documentos específicos e a que tipo de informações uma pessoa suspeita acedeu recentemente.If you have an information leak, you are likely to be asked who recently accessed specific documents and what information did a suspected person access recently.Pode responder a esses tipos de perguntas quando utiliza este registo porque as pessoas que utilizam conteúdos protegidos têm sempre de obter uma licença de Rights Management para abrir documentos e imagens protegidos pelo serviço Azure Rights Management, mesmo que esses arquivos são movidos por e-mail ou copiados para unidades USB ou outros dispositivos de armazenamento.You can answer these types of questions when you use this logging because people who use protected content must always get a Rights Management license to open documents and pictures that are protected by the Azure Rights Management service, even if these files are moved by email or copied to USB drives or other storage devices.Isso significa que pode utilizar estes registos como fonte definitiva de informações para análise forense quando proteger os seus dados com o serviço Azure Rights Management.This means that you can use these logs as a definitive source of information for forensic analysis when you protect your data by using the Azure Rights Management service.

Além deste registo de utilização, também tem as seguintes opções de registo:In addition to this usage logging, you also have the following logging options:

A partir de Fevereiro de 2016, registo de utilização do Azure Rights Management está ativado por predefinição para todos os clientes.Starting February 2016, Azure Rights Management usage logging is enabled by default for all customers.Isto aplica-se aos clientes que ativaram o serviço Azure Rights Management antes e após fevereiro de 2016.This applies to customers who activated their Azure Rights Management service before February 2016 and to customers who activate the service after February 2016.

Se utilizava o registo de utilização para o Azure Rights Management antes de fevereiro de 2016, precisava de uma subscrição do Azure e de espaço de armazenamento suficiente no Azure, o que já não é o caso.If you used usage logging for Azure Rights Management prior to February 2016, you needed a subscription to Azure and sufficient storage on Azure, which is no longer the case.

Tenha em atenção que não é necessário transferir registos com o cmdlet Get-AadrmUsageLog, caso se verifique uma das situações abaixo:Note that you do not have to download logs using the Get-AadrmUsageLog cmdlet if either of the following applies:

Ativou o serviço Azure Rights Management a 22 de fevereiro de 2016 ou antes desta data, mas não ativou a funcionalidade de registo da utilização.You activated the Azure Rights Management service on or before February 22, 2016 but did not enable the usage logging feature.

Ativou o serviço Azure Rights Management depois de 22 de fevereiro de 2016.You activated the Azure Rights Management service after February 22, 2016.

A sequência de registoThe log sequence

Cada entrada no registo tem um carimbo de data/hora UTC.Each entry in the log has a UTC timestamp.Como o serviço Azure Rights Management é executado em múltiplos servidores de múltiplos centros de dados, por vezes os registos podem parecer não estar em sequência, mesmo quando se encontram ordenados pelo respetivo carimbo de data/hora.Because the Azure Rights Management service runs on multiple servers across multiple data centers, sometimes the logs might seem to be out of sequence, even when they are sorted by their timestamp.No entanto, a diferença é pequena e, normalmente, não é superior a um minuto.However, the difference is small and usually within a minute.Na maioria dos casos, isto não representa um problema para a análise de registos.In most cases, this is not an issue that would be a problem for log analysis.

A primeira linha indica que estes são registos do Azure Rights Management.The first line identifies that these are Azure Rights Management logs.A segunda linha indica que o resto do blob segue a especificação da versão 1.1.The second line identifies that the rest of the blob follows the version 1.1 specification.Recomendamos que todas as aplicações que analisem estes registos verifiquem estas duas linhas antes de continuar a analisar o resto do blob.We recommend that any applications that parse these logs verify these two lines before continuing to parse the rest of the blob.

A terceira linha apresenta uma lista composta por nomes de campos que são separados por tabulações:The third line enumerates a list of field names that are separated by tabs:

Cada uma das linhas subsequentes é um registo.Each of the subsequent lines is a log record.Os valores dos campos estão na mesma ordem da linha anterior e são separados por tabulações.The values of the fields are in the same order as the preceding line, and are separated by tabs.Utilize a seguinte tabela para interpretar os campos.Use the following table to interpret the fields.

Nome da API de RMS que foi pedida.Name of the RMS API that was requested.

AcquireLicenseAcquireLicense

user-iduser-id

CadeiaString

O utilizador que efetuou o pedido.The user who made the request.

O valor está entre plicas.The value is enclosed in single quotation marks.As chamadas a partir de uma chave de inquilino gerida por si (BYOK) têm um valor de ", o qual também é aplicável aplica quando os tipos de pedido são anónimos.Calls from a tenant key that is managed by you (BYOK) have a value of ", which also applies when the request types are anonymous.

Este campo só terá um valor se o request-type for AcquireLicense e estiver em branco para todos os outros tipos de pedido.This field has a value only if request-type is AcquireLicense and is blank for all other request types.

Endereço IP do cliente que efetua o pedido.IP address of the client that makes the request.

64.51.202.14464.51.202.144

admin-actionadmin-action

BooleanoBool

Indica se um administrador acedeu ao site de controlo de documentos no modo de Administrador.Whether an administrator has accessed the document tracking site in Administrator mode.

VerdadeiroTrue

acting-as-useracting-as-user

CadeiaString

O endereço de e-mail do utilizador pelo qual o administrador está a aceder ao site de controlo de documentos.The email address of the user for whom an administrator is accessing the document tracking site.

'joe@contoso.com''joe@contoso.com'

Exceções para o campo user-idExceptions for the user-id field

Apesar de o campo user-id indicar geralmente o utilizador que efetuou o pedido, existem duas exceções onde o valor não é mapeado para um utilizador real:Although the user-id field usually indicates the user who made the request, there are two exceptions where the value does not map to a real user:

Se estiver a utilizar o conector RMS.If you are using the RMS connector.

Os pedidos feitos a partir deste conector são registados com o nome do principal do serviço de Aadrm_S-1-7-0 que é gerado automaticamente quando instala o conector RMS.Requests from this connector are logged with the service principal name of Aadrm_S-1-7-0, which is automatically generated when you install the RMS connector.

Tipos de pedido comunsTypical request types

Há muitos tipos de pedido para o serviço Azure Rights Management, mas a seguinte tabela apresenta alguns dos tipos de pedido mais frequentemente utilizados.There are many request types for the Azure Rights Management service but the following table identifies some of the most typically used request types.

Foi efetuada uma chamada para obter as ID do modelo a partir do serviço.A call was made to get the IDs of the template from the service.

AddTemplateAddTemplate

É efetuada uma chamada a partir do portal do Azure para adicionar um modelo.A call is made from the Azure portal to add a template.

AllDocsCsvAllDocsCsv

É feita uma chamada a partir do site de controlo de documentos para transferir o ficheiro CSV a partir da página Todos os Documentos.A call is made from the document tracking site to download the CSV file from the All Documents page.

BECreateEndUserLicenseV1BECreateEndUserLicenseV1

É efetuada uma chamada a partir de um dispositivo móvel para criar uma licença de utilizador final.A call is made from a mobile device to create an end-user license.

BEGetAllTemplatesV1BEGetAllTemplatesV1

É efetuada uma chamada a partir de um dispositivo móvel (back-end) para obter todos os modelos.A call is made from a mobile device (back-end) to get all the templates.

CertifyCertify

O cliente está a certificar o utilizador para o consumo e a criação de conteúdo protegido.The client is certifying the user for the consumption and creation of protected content.

DeleteTemplateByIdDeleteTemplateById

Uma chamada é feita a partir do portal do Azure, para eliminar um ID de modelo pelo modelo.A call is made from the Azure portal, to delete a template by template ID.

DocumentEventsCsvDocumentEventsCsv

É feita uma chamada a partir do site de controlo de documentos para transferir o ficheiro .CSV para um único documento.A call is made from the document tracking site to download the .CSV file for a single document.

ExportTemplateByIdExportTemplateById

Uma chamada é feita a partir do portal do Azure para exportar um modelo com base no ID de modelo.A call is made from the Azure portal to export a template based on a template ID.

É efetuada uma chamada de consulta de URL, que é utilizada para chamar o pedido Certify ou AcquireLicense.A call is made to query for URLs, which is used to call Certify or AcquireLicense.

GetAllDocsGetAllDocs

É feita uma chamada a partir do site de controlo de documentos para carregar a página todos os documentos para um utilizador ou procurar todos os documentos para o inquilino.A call is made from the document tracking site to load the all documents page for a user, or search all documents for the tenant.Utilize este valor com os campos admin-action e acting-as-admin:Use this value with the admin-action and acting-as-admin fields:

É efetuada uma chamada a partir do portal do Azure, para obter todos os modelos.A call is made from the Azure portal, to get all the templates.

GetClientLicensorCertGetClientLicensorCert

O cliente está a pedir um certificado de publicação (que é posteriormente utilizado para proteger conteúdos) a partir de um computador baseado no Windows.The client is requesting a publishing certificate (that is later used to protect content) from a Windows-based computer.

GetConfigurationGetConfiguration

É chamado um cmdlet do PowerShell do Azure para obter a configuração do inquilino do Azure RMS.An Azure PowerShell cmdlet is called to get the configuration of the Azure RMS tenant.

GetConnectorAuthorizationsGetConnectorAuthorizations

É efetuada uma chamada a partir dos conectores do RMS para obter a configuração destes a partir da cloud.A call is made from the RMS connectors to get their configuration from the cloud.

GetRecipientsGetRecipients

É feita uma chamada a partir do site de controlo de documentos para navegar para a vista de lista para um único documento.A call is made from the document tracking site to navigate to the list view for a single document.

GetSingleGetSingle

É feita uma chamada a partir do site de controlo de documentos para navegar para uma página de um único documento.A call is made from the document tracking site to navigate to a single document page.

É feita uma chamada a partir do site de controlo de documentos para navegar para a vista de mapa de um único documento.A call is made from the document tracking site to navigate to the map view for a single document.

LoadEventsForSummaryLoadEventsForSummary

É feita uma chamada a partir do site de controlo de documentos para navegar para a vista de linha de tempo de um único documento.A call is made from the document tracking site to navigate to the timeline view for a single document.

LoadEventsForTimelineLoadEventsForTimeline

É feita uma chamada a partir do site de controlo de documentos para navegar para a vista de mapa de um único documento.A call is made from the document tracking site to navigate to the map view for a single document.

ImportTemplateImportTemplate

É efetuada uma chamada a partir do portal do Azure para importar um modelo.A call is made from the Azure portal to import a template.

RevokeAccessRevokeAccess

É feita uma chamada a partir do site de controlo de documentos para revogar um documento.A call is made from the document tracking site to revoke a document.

SearchUsersSearchUsers

É feita uma chamada a partir do site de controlo de documentos para procurar todos os utilizadores num inquilino.A call is made from the document tracking site to search all users in a tenant.

É efetuada uma chamada para especificar a localização dos registos do serviço Azure Rights Management.A call is made to specify the location of the Azure Rights Management service logs.

UpdateNotificationSettingsUpdateNotificationSettings

É feita uma chamada a partir do site de controlo de documentos para alterar as definições de notificação de um único documento.A call is made from the document tracking site to change the notification settings for a single document.

UpdateTemplateUpdateTemplate

É efetuada uma chamada a partir do portal do Azure para atualizar um modelo existente.A call is made from the Azure portal to update an existing template.

Referência do Windows PowerShellWindows PowerShell reference

A partir de fevereiro de 2016, o único cmdlet do Windows PowerShell de que necessita para o registo de utilização do Azure Rights Management é Get-AadrmUserLog.Starting February 2016, the only Windows PowerShell cmdlet that you need for Azure Rights Management usage logging is Get-AadrmUserLog.